DAST vs SAST
Kapcsolódó szolgáltatás Kiberbiztonság
MEGHATÁROZÁS
SAST (Static Application Security Testing) a forráskódot olvassa, futtatás nélkül: data-flow analízissel keres SQL injection, XSS, hardcoded secret, gyenge crypto, deserialization mintákat. CI-ben gyors, korai. Gyengéje: nem lát autentikáció mögé, és sok false positive jön belőle (Semgrep, SonarQube). DAST (Dynamic Application Security Testing) a futó alkalmazást támadja kívülről, mintha egy pentester lenne: bejelentkezik, beküld payloadot, megnézi a választ. SQL error visszacsorgott? Reflected XSS? Open redirect? Ezek SAST-tal nem mindig jönnek elő (OWASP ZAP, Burp). Tipikus false positive minták: SAST jelez SQL injection-t parameterized query-re ahol a query builder string concat-nek néz; DAST 401-et 500-nak címkéz mert a status kód-fejléc nem stimmel; SAST hardcoded secret-nek hiszi a tesztfixture-t. Komoly stack-ben mindkettő kell, plus IAST plus SCA (dependency scan), plus a CI gate csak a magas konfidenciájú találatokra essen.
- Threat model→
Strukturált gyakorlat, ami végigveszi a rendszer szereplőit, támadási felületét, kockázatait és kontrolljait. Minden DField-projektben ez az első nap, még a kód előtt.
- Pentest (Penetrációs teszt)→
Kézi és eszközös támadás-szimuláció, amivel kiderül, hogy egy támadó mit tudna elérni. Nálunk a találatok PR-ekként jönnek a repódba, nem 80 oldalas PDF-ként.
- DevSecOps→
Biztonság mint folyamatosan futó CI-lépés (SAST, DAST, SCA, IaC-scan), nem éves projekt. Minden push ellen fut; minden sprint fix biztonsági bugot is.
- MFA (Multi-faktoros auth)→
Kétfaktoros vagy több faktor (TOTP, WebAuthn, biometria) az egy jelszón felül. SaaS-nak ma kötelező · enterprise-beszerzés lenullázza a bevételt nélküle.
- SOC 2→
Amerikai auditálási keretrendszer a bizalmassági, integritási, elérhetőségi és adatvédelmi kontrollokra. SaaS-nál a Type II audit (6–12 hó megfigyelés) a szokásos enterprise-alapvetés.
- ISO 27001→
Nemzetközi szabvány az információbiztonsági menedzsmentrendszerre (ISMS). Európában gyakran elvárt SOC 2 helyett vagy mellett. 3 éves certifikációs ciklus.